Windows歷年高危漏洞介紹和分析
一、漏洞介紹:
1.漏洞:
<1>.漏洞:是影響網路安全的重要因素;
<2>.漏洞利用:成為惡意攻擊的最常用手段;
<3>.漏洞攻擊:產業化、低成本化、手段多樣化、低門檻趨勢;
<4>.資訊化時代:無論個人/企業,都面臨嚴峻的漏洞威脅;
<5>.Windows、Office、IE、Edge、Flash等高危漏洞頻繁曝光,
2.Windows漏洞:
<1>.MS08-067 RCE漏洞;
<2>.MS12-020 DoS/藍屏/RCE漏洞;
<3>.MS15-034 HTTP sys RCE漏洞;
<4>.MS16-114 SMB RCE;
<5>.2017年:WannaCry勒索病毒、MS17-010 Eternal Blue永恒之藍漏洞、Meltdown/Spectre CPU特性漏洞、黑客奧斯卡神洞、公式編輯器漏洞、CVE-2017-7269 IIS RCE漏洞;
<6>.2018年:幽靈、CPU熔斷、震網3、412掛馬風暴;
<7>.2019年:CVE-2019-0708 Remote Desktop RCE漏洞;
二、圖表查看漏洞走勢
1.近幾年,Windows漏洞提交數量呈現逐年上漲趨勢,2018年、2019年,爆發期,對網路安全行業極其考驗的年份,
2.Microsoft產品漏洞分類統計:
3.Windows漏洞攻擊和利用:病毒分布&被利用的漏洞分布:非PE(郵件釣魚Office宏病毒、腳本類),更難被檢測,占比66%:
三、Windows歷年著名高危漏洞
Windows每一次被披露公開,爆發的高危漏洞,在整個社會都會引起軒然大波,影響各個行業,皆因Windows視窗系統應用與各個生產服務領域,
1.MS08-067(CVE-2008-4250):
<1>.漏洞資訊:
MS08-067(CVE-2008-4250),具有里程碑意義的一個Windows SMB漏洞,影響深遠,是最經典的漏洞之一,在2017年Shadow Brokers泄露的黑客利用程式里,就有MS08-067漏洞,MS08-067(CVE-2008-4250)是典型的
Windows緩沖區溢位漏洞,那時候,Windows的記憶體堆疊保護(ASLR技術)還沒成熟,
漏洞是通過MS RPC over SMB通道(PIPE)呼叫Server服務程式中的NetPathCanonicalize函式觸發造成的,NetPathCanonicalize函式在遠程訪問其他主機時,會呼叫NetpwPathCanonicalize函式,對遠程訪問的路徑進行規范
化,而在NetpwPathCanonicalize函式中存在的邏輯錯誤,造成堆疊緩沖區可被溢位,最終RCE(remote command/code execute),
造成大面積影響,可取得SYSTEM權限,完全控制Windows,制造蠕蟲病毒、勒索病毒、遠控木馬等惡意攻擊,
<2>影響的組件:svchost.exe netapi32.dll,
<3>.官方公告:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2008/ms08-067
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2GDlB
<4>.檢查補丁:
wmic qfe GET hotfixid | findstr /C:"KB958644"
2.MS17-010(KB4012212):
<1>.漏洞資訊:
多個Windows SMB遠程執行代碼(RCE)漏洞,當 Microsoft服務器訊息塊 1.0 (SMBv1,檔案共享協議漏洞)服務器處理某些請求時,存在多個遠程執行代碼漏洞,成功利用這些漏洞的攻擊者可以獲取在目標系統上執行代
碼的能力,為了利用此漏洞,在多數情況下,未經身份驗證的攻擊者可能向目標SMBv1服務器發送經特殊設計的資料包,
近兩年來, “永恒之藍”漏洞已經成為被利用程度最高的安全漏洞之一 ! 惡意攻擊利用“永恒之藍”漏洞,主動傳播蠕蟲式勒索病毒,“永恒之藍”(WannaCry)開啟了勒索病毒的新時代,
注:WannaCry勒索病毒,惡意攻擊者利用The Shadow Brokers釋放的永恒之藍漏洞進行勒索病
毒、蠕蟲傳播,在全世界范圍內超過23萬臺主機感染,目前還存在變種病毒, 、
<2>.影響范圍:
Windows XP、2003、Windows7、Windows Server 2008 R2、Windows8.1、Windows Server2012、Windows10、Windows Server 2016
<3>.表現:感染勒索病毒,檔案損毀,
<4>.官方公告:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
<5>.檢查補丁:
wmic qfe GET hotfixid | findstr /C:"KB4012212"
3.CVE-2018-8174/CVE-2018-8893:IE雙殺0day,高危漏洞:
<1>.漏洞資訊:
Word檔案通過CVE-2017-0199的OLE Autolink漏洞利用方式嵌入惡意網頁,所有的漏洞利用代碼和惡意載荷都通過遠程的服務器加載;中招用戶點擊打開誘餌檔案后,首先Word行程將訪問遠程的IE vbscript 0day(CVE-
2018-8174)網頁,漏洞觸發后將執行Shellcode,然后再發起多個請求從遠程的服務器獲取payload資料解密執行;Payload在執行的程序中word行程會在本地釋放3個DLL后門程式,通過powershell命令和rundll32命令分別執行安裝后門
程式,后門的執行程序使用了公開的UAC繞過技術,并利用了檔案隱寫技術和記憶體反射加載的方式來避免流量監測和實作無檔案落地加載,
利用該0day漏洞,對IE內核瀏覽器和Office進行APT攻擊(e.g. APT-C-06組織,針對中國政府、科研、外貿領域,長期蟄伏,監控);最新版本的IE瀏覽器及使用了IE內核的應用程式,用戶在瀏覽網頁或打開Office檔案時都
可能中招,最終被黑客植入后門木馬完全控制電腦,
利用多次UAF(Use After Free 釋放重參考漏洞)來完成型別混淆,通過偽造陣列物件完成任意地址讀寫,最終通過構造物件后釋放來獲取代碼執行,代碼執行并沒有使用傳統的ROP(Return orientedProgramming(面向回傳的
編程))或者GodMode(NT6系統中隱藏的一個簡單的檔案夾視窗包含了幾乎所有系統的設定),而是通過腳本布局Shellcode來穩定利用,
<2>.官方介紹:
https://support.microsoft.com/en-us/help/4134651/description-of-the-security-update-for-vulnerabilities-in-windows
<3>.檢查補丁:
wmic qfe GET hotfixid | findstr /C:"KB4134651"
<4>.因一代補丁并未完全解決問題,衍生的新漏洞:
CVE-2018-8242,IE雙殺,二代0day漏洞;
CVE-2018-8373,IE雙殺,三代0day漏洞;
4.CVE-2019-0708:
<1>.漏洞資訊:
2019年5月14日,Windows遠程桌面服務(Remote Desktop Services,TCP/UDP 3389 RDP)存在嚴重安全漏洞(破壞力巨大),利用預身份驗證,無需用戶授權,執行任意代碼(RCE),安裝后門,查看、篡改隱私數
據,創建擁有完全用戶權限的新賬戶等攻擊行為,可完全控制目標的計算機,可利用該漏洞制作堪比2017年席卷全球的WannaCry類蠕蟲病毒,進行大規模傳播、破壞;
<2>.影響系統版本:
Windows XP(KB4500331)、Windows 2003(KB4500331)、Vista(KB4499180)、2008/2008 R2( KB4499180)、Windows 7(KB4499175),
<3>.官方資訊:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
<4>.免費檢測工具:
https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip
<5>.漏洞檢測:
wmic qfe GET hotfixid | findstr /C:"KB4499175"
注:打開Windwos命令列界面,輸入"regedit"打開注冊表 -->按照如下兩種方式即可查看和修改埠號:
注:文中所有的檢測補丁是否存在的指令 :wmic qfe GET hotfixid | findstr /C:"X",若指令存在則會反彈補丁"X",否則不顯示,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/4955.html
標籤:Windows
上一篇:[VB.NET Tips]StrConv簡體轉繁體在繁體作業系統下顯示為亂碼
下一篇:MySQL 創建定時任務 詳解